School in Media Faculty Insights in Media

取览罪免责辩护 立法需充足讨论

Information Systems, Business Statistics & Operations Management
作者
许佳龙

刊于《信报》,2026年2月9日

取览罪免责辩护 立法需充足讨论

许佳龙

科大协理副校长(学术发展);信息、商业统计及营运学系讲座教授;艾礼文家族商学教授

笔者前一篇文章讨论了法改会提交的《依据计算机网络的罪行及司法管辖权事宜》报告书,整体来说,报告所涵盖的五类依赖计算机网络罪行范畴,与包括欧洲委员会《布达佩斯公约》等其他司法区针对的网络犯罪,覆盖范畴基本一致,是相当全面和可取的。

然而,对于报告书响应 20227月法改会发布的咨询文件「建议二」,对于为网络安全目的、却未获授权下取览,应否有任何特定的免责辩护或豁免,报告建议,免责辩护或豁免只适用于经认可的网络安全从业员,且为真正网络安全目的而行事。笔者认为,网络专业保安人员无论是经「法定主管当局认可」或「声誉良好的信息科技专业团体或国际信息科技协会的成员,即可得豁免」(《报告书摘要》,页6),都有一个潜在弊端,即收窄了计算机网络技术发展的群体人数及参与数量。

收窄参与人数潜在弊端

很显然,若有行为个体,包括学生或有心人士拟透过自学渠道,去提升自己的计算机网络保安能力或技术开发,便变得困难,因为学习计算机网络保安技术,难免涉猎到一些取览、入侵攻防等举措、学习或训练,若获免责辩护或豁免只限于认可的网络专业人员,上述的自学者未必得到免责辩护或豁免。

对此,笔者有一个难忘的经历事例。事缘多年前,笔者负责一大学的招生任务,当时有一名中学生,参加一个招生课程讲座。讲座完毕,他特来问我,「教授,你认为大学在网络保安上的安全措施是否足够?」我回答说:「我们设立了相关的信息科技保安团队,相信我们的网络保安工作做足了防御」。但他随即通过手机,向我展示说:「我曾登入过你们某些设置权限进入的网站,发现你们的网络有安全漏洞,甚至有相关数据的外泄风险。」

笔者听后高度警惕,随即与相关同事联络,找出问题所在,幸而这名「网络迷」中学生的「入侵」行为,完全没有恶意,只是出于自学网络保安技能的动机。他一心想报读大学的信息科技课程,遂在大学网站上遍寻相关课程讯息,结果发现了我们网络保安漏洞。因为他的提醒,我们能够马上把漏洞堵塞,全面提升我们网络保安的防御工作。

「漏洞赏金计划」启迪

这个事例显示当前网络保安领域的一个重要发展——很多出色的网络保安员或专家往往是自学成才,未必修读过一些由相关认可机构提供的专业培训课程。当这些个体自学成才后,不少会四处搜寻各大小机构的网络保安漏洞,知会相关机构,作出提醒。

此举不期然令笔者联想起曾经做过的一项研究——一个称为「漏洞赏金计划」 (Bug Bounty ProgramBBP)。在BBP下,任何人若找出系统或网站中一个程序的漏洞,便可以拿到赏金,这类活动在网络保安界十分流行。不少网络平台有系统地发起「漏洞赏金计划」,向找出平台系统或网站漏洞的网络安全研究者发放赏金,以完善该平台系统或软件,而BBP往往还征召公众和个人参与。

因此,当免责辩护或豁免局限于认可网络保安专业人员,则参与BBP这类活动的人,便有机会身陷法网。笔者认为,日后在针对计算机网络罪行的立法过程中,对这种自发的、有普罗大众参与,大家一起去搜寻网络保安漏洞的行为,是否涵盖到获免责辩护或豁免的基础上,需要有充足的讨论,否则便会扼杀了这类「有益和有建设性」的网络行为。

免责辩护或豁免有讨论空间

事实上,这种群体搜寻漏洞行为的合法性,在网络保安上相当重要,可起到「全民皆兵」的作用,因为个中牵涉到个人涉猎网络罪行和保安的知识内容。很显然,最好的网络个人保护,是自己洞悉别人所采取的攻击手法和机理。若剥去个体学习和体验攻击手法的训练机会,缺乏这方面的知识,不明白个中操作的机理,有可能在未来令社会于防治网络罪行上,出现个体性及群体性水平不足的双重弊端。

其实,报告对此也提出公开讨论的建议,指出「应设一套独立的制度,以对网络安全从业员进行认可」(《报告书摘要》,页6)。记得笔者曾对咨询文件的「建设二」提出了意见,认为考虑到类似BBP的行为,获得免责辩护或豁免不宜建基于「专业资格」或「身份」上,而应以「行为」及「意图」为参照基础。今次报告书提出的多项建议和五类网络罪行,无疑也展示了意图的重要性。但笔者始终认为,免责辩护或豁免应透过意图和行为,以不排除那些对社会获益,可以提升公众网络行为正面能力、认知和技术的方式,去执行获得免责辩护或豁免比较妥善。

改变利厚刑薄犯罪诱因

我们需要明白,法律的惩治不可能禁绝犯罪行为,对潜在犯罪者构成绝对阻吓,反而可能对无意犯罪的人,不敢再去做一些不含犯罪意图、并可起正面性作用,却可能受到法律制裁的活动,例如有益网络保安的BBP计划行为。因此,如何采纳一个平衡点,委实十分重要。

整体来说,如今香港推动网络罪行立法迈出了重要一步。报告也清晰提出了通过简易程序和公诉定罪的量刑,例如非法干扰计算机数据或系统等加重罪行,可判处终身监禁。在今日网络犯罪日趋严重,规模影响不断扩大下,一旦犯罪者获益大刑罚轻,利厚而刑薄,只会引发更多人去以身试法,参与网络诈骗,因此,笔者对于提高网络罪行的量刑,十分赞成,同意是合适之举!

Read Article